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□ NATURE DE LA DEMANDE 


Cochez Tune des 4 cases suivantes 


Demande de brevet 


m 


Demande de certificat d'utilite 


□ 


Demande divisionnaire 

Demande de breret i nil idle 
nn demande ilc certificat d'utiUte initiate 


□ 

N° Date / / 
N° Date / / 


Transformation d'une demande de 
brevet europeen Demande de hretvf initiate 


□ 

N° Date / / 



REMISE DES PIECES 

date 28 MARS 2000 
lieu 75 |N PI PARIS 

N° D'ENREGISTREMENT 0003918 
NATIONAL ATTRIBUE PAR LINPl 1 

DATE DE DEPOT ATTRIBUEE 

par l'inpi 2 8 MARS 20Q0 


Q NOM ET ADRESSE DU DEMANDEUR OU DU MAN DATA! RE 

A QUI LA CORRESPONDANCE DOIT ETRE ADRESSEE 
■ ■ 

Cabinet BALLOT-SCHMIT 
16, Avenue du Pont Royal 
94230 CACHAN 
FRANCE 

MK/PL 


Vos references pour ce dossier 

<Jaadtatif> °15519 (GEM85D 



Confirmation d'un depot par telecopie 



□ 1ST attribue par MNPI a la telecopie 



TITRE DE (.'INVENTION (200 caracteres ou espaces maximum) 

Procede de signatures numeriques probabilistes . 



Q DECLARATION DE PRIORITE 
OU REQUETE DU BENEFICE DE 
LA DATE DE DEPOT D UNE 
DEMANDE ANTERIEURE FRANQAISE 


Pays ou organisation 

Date / / N° 
Pays ou organisation 

Date / / N° 
Pays ou organisation 

Date / / N° 

□ S'il y a d'autres priorites, cochez la case et utilisez I'imprime «Suite» 


□ DEMANDEUR 


□ S'il y a d'autres demandeurs, cochez la case et utilisez rimprime «Suite» 


Nom ou denomination sociale 


GEMPLUS 


Prenoms 




Forme juridique 


(Societe Anonyme) 


N° SIREN 




Code APE-NAF 




Adresse 


Rue 


Avenue du Pic de Bertagne 

Pare d'Activites de la Plaine de Jouaues 


Code postal et ville 


13^20 GEMENGS 


Pays 


FRANCF 


Nationality 


Frangaise 


N°de telephone tf and tat if 




N° de telecopie / faadtalifi 




Adresse electron ique ifaadtatij) 
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REMISE DES 
DATE 

LIEU 



2fS S MARS 2000 
75 INPI PARIS 



N" DENREGISTREMENT 
NATIONAL ATTRIBUE PAR LINPI 



0003918 



OB 540 W / 260899 
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MANDATAIRE 

Nom 



Prenom 

Cabinet ou Societe 



„^RIN 

Lydie 

Cabinet BALLOT-SCHMIT 



N °de pouvoir permanent et/ou 
de lien contractile) 



Adresse 

Code postal et ville 
N° de telephone (jaculiatij) 
N° de telecopie (facuttatif) 
Adresse electronique (facultatif) 



16, Avenue du Pont Royal 

94230 1 CAOHAN 

. 01_49_, 69 ,91 9.1 

01 49 .69 91 90 



INVENTEUR (S) 



Les inventeurs sont les demandeurs 



□ Oui 

DQ Non Dans ce cas fournir une designation d'inventeur(s) separee 



□ RAPPORT DE RECHERCHE 



Uniquement pour une demande de brevet (y compris division et transformation) 



Etablissement immediat 
ou etablissement differe 



□ 



Paiement echelonne de la redevance 



Paiement en deux versements, uniquement pour les personnes physiques 

□ Oui 

El Non 



REDUCTION DU TAUX 
DES REDEVANCES 



Uniquement pour les personnes physiques 

□ Requise pour la premiere fois pour cette invention (joindre un avis de non-imposition) 

□ Requise anterieurement a ce depot (jot ml re une copie de la decision dad miss ion 
pour cette invention ou indiquersa reference) : 



Si vous avez utilise I'imprime «Suite», 
indiquez le nombre de pages jointes 



EE SIGNATURE DU DEMANDEUR ^ 
OU DU MANDATAIRE /Y J 
(Nom et qualrte du signatcure) / ft C 

Lydie BORIN 
Mandataire N° 94-0506 
Cabinet BALLOT-SCHMIT 



VISA DE LA PREFECTURE 
OU DE L'INPI 

R BERNOUIS 



La loi n°78-17 du 6 janvier 1978 relative a 1'informatique, aux fichiers et aux liberies s'applique aux reponses faites a ce formulaire. 
Elle garantit uri droit d'acces et de rectification pour les ddnnees vous concernant aupres de I'lNPI. 
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D E PARTEM EN T DES BREVETS 

26 bis. rue de Saint Petersbourg 
75800 Paris Cedex 08 

Telephone : 01 53 04 53 04 Telecopie ; 01 42 94 86 54 



DESIGNATION D'INVENTEUR(S) Page N° .-1-/1.. 
(Si ie demandeur rfest pas I'inventeur ou I'unique inventeur) 



Cet imprime est a remplir lisiblement a I'encre noire 
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LE(S) DEMANDEUR(S) : 

GEMPLUS (S.A.) 

Avenue du Pic de Bertagne 

Pare d'Activites de la Plaine de Jouques 

13^20 GEMENOS 

FRANCE 



DESIGNE(NT) EN TANT QU'INVENTEUR(S) : (Indiquez en haut a droite «Page N° 1/1» S'il y a plus de trois inventeurs, 
utilisez un formulaire identique et numerotez chaque page en indiquant le nombre total de pages). 



Nom 


NACOACHE 


Prenoms 


David 


Adresse 


Rue 


Domic ilie au Cabinet BALLOT-SCHMIT 
16, Avenue du Pont Royal 


Code postal et ville 


942^0 CACHAN 


Societe d'appartenance /yV/t ulu tf/fi 




Nom 


PAILLIER 


Prenoms 


Pascal 


Adresse 


Rue 


Domic ilie au Cabinet BALLOT-SCHMIT 
16, Avenue du Pont Royal 


Code postal et ville 


Q4230 CACHAN 


Societe d'appartenance i/iicu//(t//f> 




Nom 


STERN 


Prenoms 


Jacques 


Adresse 


Rue 


Domic ilie au Cabinet BALLOT-SCHMIT 
16, avenue du Pont Royal 


Code postal et ville 


Q4230 CACHAN 


Societe d'appartenance ifacalhitij) 




DATE ET SIGNATURE(S) 
DU (DES) DEMANDEUR(S) /J f) 
OU DU MANDATAIRE / / 
(Nom et qualitexfiT&i^naJ^ireJM 

L^die BORlk X ' * ' 

Mandataire N° 94-0506 v ___- 
Cabinet BALLOT-SCHMIT 


/ 



La loi n°78-17 du 6 janvier 1978 relative a l informatique. aux fichiers et aux libertes s'applique aux reponses faites a ce formulaire. 
Elle garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de I'lNPI. 
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015519-GEM851 
NACCACHE David, PAILLER Pascal STERN Jacques 



PROCEDE DE SIGNATURES NUMERIQUES PROBABILISTES 



La presente invention concerne un procede de 
generation de signatures numeriques probabilistes afin 
de permettre la verification de l'integrite d'un 
message transmis. 

La presente invention s' applique en particulier au 
domaine des cartes a puce avec ou sans contact. De 
telles cartes constituent en effet des supports 
d' informations securises et comportent en .general un 
micro-contoleur incorpore sur une puce de circuit 
integre. Un micro-controleur possede une architecture 
semblable a celle d'un ordinateur. II comporte une 
unite de traitement constitute d'un microprocesseur ou 
CPU (de 1' anglais Central Processing Unit) associee a 
differents types de memoires. Une memoire non volatile, 
de type ROM par exemple, comporte en general au moins 
un programme de mise en ceuvre d'un algorithme de 
signature. 

L' invention s' applique en particulier a des 
algorithmes de generation et de verification de 
signatures numeriques. L'objectif. de ces algorithmes 
est de calculer un ou plusieurs entiers, en general une 
paire, appeles la signature et associes a un message 
donne afin de certifier 1'identite du signataire et 
l'integrite du message signe. De tels algorithmes 
permettent d' une part de generer des signatures et 
d' autre part de verifier ces signatures. 

La signature est dite probabiliste lorsque 
1' algorithme fait appel a un aleas dans la generation 
de la signature, cet aleas etant secret et regenere a 
chaque nouvelle signature. Ainsi, un raeme message 
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transmis par un meme utilisateur peut avoir plusieurs 
signatures distinctes . 

Un exemple d'un tel algorithme peut etre illustre 
par le DSA (de 1' anglais Digital Signature Algorithm) . 
5 Les parametres du DSA sont : 

p, un grand premier connu, de 512 ou 1024 bits, 
q, un premier qui divise p-1, de 160 bits, 
g, un entier choisi tel que g q = 1 mod p 
avec g 1 mod p . 
10 La cle secrete x est un nombre aleatoirement fixe 

entre 0 et 2 i60 -l, et la cle publique y est liee a x par 
la relation y = g x mod p . 

Soit m, le message a envoyer. La signature DSA de m 
est la paire (r,s) definie comme suit : 
15 r == (g k mod p) mod q ; 

s = ( h (m) + r • x) / k mod q ; 

avec k un nombre aleatoire de 160 bits tel que k<q, 
regenere a chaque signature, 

et h(m) le message initial m chiffre au moyen d'une 
20 fonction de hachage qui est une fonction 
cryptographique pseudo aleatoire. 

La verification de la signature s'effectue comme 
suit : 

On realise un premier calcul intermediaire 
25 w = s" 1 mod q 

On verifie si { (g w * htm} y r * w )mod plmod q ~ r. 
Si cette egalite est vrai, la signature est 
authentique . 

La generation de la signature (r,s) a ete realisee 
30 avec la cle secrete x et un nombre aleatoire k secret 
et different pour chaque signature, et sa verification 
avec la cle publique y. Ainsi, n' importe qui peut 
authentifier une carte et son porteur sans detenir sa 
cle secrete. 
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L' utilisation de la fonction de hachage dans la 
generation de la signature se retrouve dans quasiment 
tous les algorithmes de generation de signatures 
probabilistes bases sur un calcul de logarithme 
5 discret. Elle permet en effet de garantir la non 
reproductibilite de la signature en brisant sa 
linearite . 

L' emploi de cette fonction de hachage presente 
neanmoins des inconvenients car elle suppose d'une part 

10 que cette fonction h se comporte comme une fonction 
aleatoire, ce qui n' est pas toujours vrai, et d' autre 
part que cette fonction h est implementee dans la 
memoire de la puce de circuit integre du dispositif 
securise (la carte a puce par exemple) . Or la taille de 

15 code necessaire a 1 ' implementat ion de la fonction de 
hachage est tres elevee, environ 1 a 2 kilo octets. 

Les contraintes economiques liees au marche de la 
carte a puce obligent a une constante recherche en vue 
de maitriser ses couts de revient . Cet effort passe 

20 souvent par 1 ' utilisation de composants plus simples. 

Dans un tel cadre, 1 ' implementat ion d' algorithmes a cle 
publique sur des micro-controleurs peu chers de types 8 
bits a coeur de 8051 (Intel) ou 6805 (Motorola) par 
exemple represente un interet grandissant . II n' est 

25 cependant pas possible d' implemen ter un algorithme de 
signature numerique tel que le DSA ou du meme type, 
faisant appel a une fonction de hachage, sur de tels 
micro-controleurs . 

L' invention a pour but de resoudre ces contraintes 

30 et propose une solution qui soit adaptee a des micro- 
controleurs possedant peu de ressources de calcul. 

La presente invention a pour objet un procede de 
generation de signatures numeriques probabilistes qui 
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permet de s'affranchir de la fonction de hachage, sans 
alterer la securite des messages echanges. 

L' invention propose a cet effet un procede 
permettant de transformer un algorithme de signature 
5 probabiliste utilisant une fonction de hachage en un 
autre algorithme ne f aisant pas appel a cette fonction . 
A cette fin, 1' algorithme probabiliste de depart est 
utilise deux fois au lieu d'une pour signer le message 
directement , c' est a dire le message initial non hache . 
10 On gene re ainsi des signatures j umelles associees au 
meme message. 

L' invention concerne plus particulierement un 
procede de signatures numeriques probabil is tes d' un 
message, entre un signataire et un ver i f ieur, a partir 

15 d'un algorithme base sur le calcul d'un logarithme 
discret , caracterise en ce qu' il cons is te, pour le 
signataire , a generer au mo ins deux signatures du meme 
message non hache, lesdites signatures etant calculees 
par 1' algorithme au moyen des memes parametres a cle 

20 publique et privee en f aisant respectivement appel a 
des aleas distincts, et en ce qu' il consiste, pour le 
verifieur, a verifier toutes les signatures dudit 
message . 

Selon une application, 1 ' algorithme probabiliste 
25 est le DSA (Digital Signature Algorithm) . 

Selon une autre application, 1' algorithme 
probabiliste est 1' algorithme de Schnorr. 

L' invention s' applique avantageusement a 

tout disposi t if securise de type carte a puce, et en 
30 particulier a des disposi ti fs comport ant un micro- 
controleur 8 bits . 

Le procede selon 1' invention presente l'avantage de 
s'affranchir de la fonction de hachage et de minimiser 
ainsi le taux d' occupation memoire. En outre, la 
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vitesse de calcul est accrue, meme si un double calcul 
est requis. En effet, l'appel a une fonction de hachage 
est delicate sur de simples micro-controleurs 8 bits, 
peu chers et de plus en plus souvent utilises pour 
5 contenir les couts de fabrication des dispositifs. 

En outre, le precede selon 1' invention permet de 
garantir la securite dans 1' execution de n' importe quel 
algorithme de generation de signatures numeriques 
probabi lis tes . 

10 La description fait reference a 1' algorithme de 

signature DSA, mais s' applique egalement a tous les 
autres algorithiues de signatures probabilistes et a 
leurs variantes tels que ElGamal, Schnorr, EC-DSA, Abe- 
Okamoto, par exemple qui utilisent egalement la 

15 fonction de hachage dans la generation de paires de 
signatures • 

Le procede de generation de signatures selon 
1' invention est base sur le calcul d' au moins deux 
signatures, que l'on dit alors jumelles, du meme 
20 message initial m non hache. La signature comprend 
ainsi au moins deux signatures calculees a l'aide des 
memes parametres a cle publique y et privee x en 
faisant respect ivement appel a des aleas distincts k*, 
k2 / ••• k n . 

25 La signature du message devient ainsi ( r -. , s i , r-> , s-> , 

...r n ,s n ), avec les n paires (r w Si ) (pour i allant de 1 a 
n) calculees et verifiees selon les procedes classiques 
de generation et de verification de signatures qu'il 
s'agisse du DSA, de Schnorr ou de tout autre algorithme 

30 util is ant une fonction de hachage . 



REVENDICATIONS 



1. Procede de signatures numeriques probabilistes 
d'un message (m) , entre un signataire et un verifieur, 
a partir d'un algorithme base sur le calcul d'un 
logarithme discret , caracterise en ce qu' il consiste, 

5 pour le signataire, a generer au moins deux signatures 
(ri/Si) et (r 2/ s 2 ) du meme message non hache (m) , 
lesdites signatures etant calculees par 1 ' algorithme au 
moyen des memes parametres a cle publique et privee 
( y, x ) en faisant respect ivement appel a des aleas 
10 distincts (ki) et (k 2 ), et en ce qu'il consiste, pour le 
verifieur, a verifier toutes les signatures (ri,Si) et 
(r 2/ s 2 ) dudit message (m) . 

2. Procede selon la revendicat ion 1, caracterise en 
15 ce que l 7 algorithme probabiliste est le DSA (Digital 

Signature Algorithm) . 

3. Procede selon la revendicat ion 1, caracterise en 
ce que, 1' algorithme probabiliste est 1' algorithme de 

20 Schnorr. 

4. Dispositif securise, de type carte a puce, 
caracterise en ce qu' il comporte un composant 
electronique apte a mettre en ceuvre le procede de 

25 signature selon les revendicat ions 1 a 3. 

5. Dispositif selon la revendicat ion 4, caracterise 
en ce que le composant electronique est un micro- 
controleur 8 bits . 
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